Project Wycheproof: Krypto-Implementierung auf Sicherheit abklopfen

December 20, 2016 - 1:20 pm in Security

[ad_1]

Von AES über ECDH bis RSA: Admins können mit Googles Project Wycheproof eine Sammlung von Tests auf ihre Server loslassen, um die Sicherheit der Konfiguration von Krpyto-Funktionen zu testen.

Mit Project Wycheproof gibt Googles Sicherheitsteam Admins über 80 Tests an die Hand, mit denen sie die Sicherheit der Implementierung von kryptografischen Funktionen auf Servern überprüfen können. Auf Github finden Interessierte alles Nötige inklusive Anleitung, um loslegen zu können. Google betont, dass es sich bei dem Projekt um kein offizielles Google-Produkt handelt.

Die Entwickler zeigen darüber hinaus Schwächen verschiedener Krypto-Verfahren auf und geben Tipps für die optimale Einrichtung (siehe folgende Links). Project Wycheproof bietet Tests für die Krypto-Algorithmen: AES, EAX, AES-GCM, Diffie-Hellman (DH) , DHIES, DSA, elliptische Kurven ECDH, ECDSA, ECIES, RSA. Dabei kommen derzeit bekannte Attacken zum Einsatz.

Mit den Tests kann man etwa abklopfen, ob die eigene RSA-Konfiguration anfällig für die so genannte Bleichenbacher-Attacke ist. Beim Einsatz von ECDH unter der Nutzung der quelloffenen SSL/TLS-Umsetzung Bouncy Castle konnten die Entwickler eigenen Angaben zufolge mit ihren Tests einen privaten Schlüssel leaken.

Voraussetzungen und Einschränkungen

Wer Project Wycheproof auf seine Server loslassen will, benötigt das Tool Bazel zum Bauen und Testen von Software und die Java Cryptograhic Extension (JCE) Unlimited Strength Jurisdiction Policy Files.

Besteht die Krypto-Implementierung auf einem Server alle Tests von Project Wycheproof, garantiert das jedoch keine hundertprozentige Sicherheit, betonen die Entwickler. Die Test-Sammlung erhebe keinen Anspruch auf Vollständigkeit und befinde sich noch in Entwicklung. Zudem gibt es immer wieder neue Angriffsszenarien, die Krypto-Funktionen brechen wollen. (des)

[ad_2]

Read more on: Source

Industrie warnt vor Engpässen durch Funktechnik-Richtlinie

December 20, 2016 - 1:55 am in Internet

[ad_1] Vom 12. Juni 2017 an müssen alle Geräte mit Funk-Komponenten für den Verkauf in Europa einer neuen Richtlinie entsprechen. Nun schlägt die…

Java SE: Oracle will angeblich kassieren

December 20, 2016 - 1:30 am in Software-Entwicklung

[ad_1] Laut einem Bericht hat Oracle begonnen, Lizenzgebühren für den Einsatz von Java SE einzufordern. Der kostenlose Java-SE-Download enthält Komponenten,…

FritzOS 6.80: Neue Firmware für Topmodelle von AVM

December 19, 2016 - 7:50 pm in Internet

[ad_1] Die Fritzboxen 7580 und 7560 haben ein Update auf die Firmware-Version 6.80 bekommen, das unter anderem Unterstützung für WLAN-Bandsteering bringt und besser vor Telefoniemissbrauch schützt. Ab Januar sollen weitere AVM-Router das Update erhalten.…

Jetzt offiziell: MicroProfile-Projekt wandert zu Eclipse

December 19, 2016 - 7:24 pm in Software-Entwicklung

[ad_1] Unklar ist allerdings noch, wie das Lizenzierungsmodell für die Untermenge von Java EE zur Entwicklung von Microservice-, Cloud- und Container-Anwendungen aussehen soll. Was bisher kaum offiziellen Charakter hatte und vorrangig Teil einer Absichtserklärung…

OpenSSH verabschiedet sich von SSHv1

December 19, 2016 - 7:10 pm in Security

[ad_1] Die gerade veröffentlichte Version OpenSSH 7.4 entfernt die Unterstützung für das veraltete Protokoll SSHv1 auf Server-Seite. Im August soll es ganz beerdigt werden. Darüber hinaus gibt es auch ein paar Bug-Fixes. Das Entwickler-Team der populären…

heise-Angebot: MakerCon: Bis zum Jahresende gilt der Frühbucherrabatt

December 19, 2016 - 1:20 pm in Software-Entwicklung

[ad_1] Genaugenommen bis zum 2. Januar können sich professionelle Maker und Innovationsbeauftragte im Unternehmen zu vergünstigten Preisen für die erste MakerCon anmelden. Vom 16. bis 18. Februar findet in Heidelberg zum ersten Mal die MakerCon statt. Die…

Yahoo muss erneut Massenhack beichten: Eine Milliarde Opfer

December 19, 2016 - 6:59 am in Security

[ad_1] Im September hatte Yahoo einen Hack von über einer halben Milliarde Nutzerkonten bekanntgegeben. Den Rekord hat Yahoo nun gebrochen. Diesmal geht es um über eine Milliarde Konten. Dazu kommen gezielte Attacken mittels Cookies. Ende 2014 wurden bei…

Sicherheitsupdate: Joomla schützt sich vor Account-Manipulation

December 19, 2016 - 12:58 am in Security

[ad_1] Neben dem Schließen von drei Sicherheitslücken haben die Joomla-Entwickler das CMS zusätzlich gehärtet. Verschiedene Versionen des Content-Management-Systems Joomla sind verwundbar. Die Entwickler raten Nutzern, die aktuelle Version 3.6.5 zügig…

Ubuntu Desktop: Bug in Crash-Reporter erlaubt Einschleusen von Schadcode

December 18, 2016 - 7:10 pm in OSS

[ad_1] Der Crash-Reporter Apport, standardmäßig installiert in Ubuntu Desktop ab 12.10, war anfällig für das Einschleusen von Schadcode über manipulierte .crash-Dateien. Der Fehler ist seit einigen Tagen behoben. Manchmal braucht es gar keine großen…